Sort:  

Wenn nötig dann sind sie wichtig, aber ob sie nötig sind hängt ja auch davon ab, ob man ein Produkt zu Ende entwickelt, oder ob es sozusagen an den Kunden ausprobiert.

Wenn nötig dann sind sie wichtig, aber ob sie nötig sind hängt ja auch davon ab, ob man ein Produkt zu Ende entwickelt, oder ob es sozusagen an den Kunden ausprobiert.

Da sieht man, dass du keine Ahnung von Software hast. JEDE Software eine Menge an unbekannten Sicherheitslücken, die dann irgendwann gefunden werden.

[...] studies suggest that one Defect per thousand lines of code is generally considered as a sign of good project quality.

-- https://www.guru99.com/defect-density-software-testing-terminology.html

Hier geht's nur um die gefundenen Lücken, die noch unbekannten kann man natürlich nicht zählen.

Und wir gehen hier von Millionen Zeilen an Code aus. Alleine Linux (Kernel) hat > 25Mio. Davon zu reden, dass es perfekte Software gibt, die keine Bugs hat, ist einfach dermaßen naiv.

Mal davon abgesehen, hast du schon mal was von Spectre gehört? Ein CPU Hardware-Bug, den es seit 10Jahren in allen CPUs gibt. Man kann es aber etwas abmildern mit einem Software Patch.

Ich sehe das Problem das man den Leuten das Gefühl gibt, das alles immer völlig sicher währe. Und das sie dann der Meinung sind das es am besten zweimal am Tag ein „Update“ geben müsste.
So wie man damit leben muss, das jemand einen schuppen aufbrechen kann, so kann man eben auch in Geräte einbrechen. Daraus folgt das man im schuppen keine Wertsachen lagern sollte. Ein anderes schloss ändert nur die Art des aufbrechen aber verhindert das nicht.
Bei den Autos ist es ja das Selbe, was hat man sich nicht alle einfallen lassen, derart komplizierte Technik die selbst die Fachwerkstatt nicht mehr reparieren kann, sondern höchstens austauschen. Und trotz alledem werden immer noch Autos geklaut. Wir stellen also fest das all das bisher nichts genützt hat, und das wird ja auch so bleiben. EDV Systeme werden nie absolut sicher sein. Es wäre besser den Leuten das zu erklären als den Eindruck zu erwecken das man mit „Updates“ immer alles im griff hat.

EDV Systeme werden nie absolut sicher sein.

Jupp. Trotzdem geht es immer um die Kosten für einen Angreifer, wenn er sich nen Codeschnipsel aus dem Internet kopieren kann um auf so ein Gerät zu kommen, dann ist es zu einfach.

Es wäre besser den Leuten das zu erklären als den Eindruck zu erwecken das man mit „Updates“ immer alles im griff hat.

Die Umkehrung davon ist aber auch nicht gut. Geräte, die komplett keine Updates bekommen und damit offen stehen wie ein Scheunentor. Das ist dann das gleiche, wie ein Schuppen mit einem komplett verrosteten Schloss. Jeder, der Google für ein paar Minuten bedienen kann, kommt da rein. Bei Geräten, die dafür gemacht werden dauerhaft online zu sein (Smartphone), sollte man nicht komplett auf die Sicherheit scheißen, in dem man es mit längst bekannten uralten Lücken verkauft.

Außerdem, in wie fern soll es etwas ändern? Ich muss mit dem Gerät online sein, sonst verfehlt es seinen Zweck. Also was soll der Kunde mit dem Wissen anders machen als sich beim Hersteller um mehr Updates zu bemühen? Und damit die Wahrscheinlichkeit eines erfolgreichen Angriffes auf sein Smartphone zu minimieren? Demnach müsste es mehr Updates geben, nicht so wie du hier sagt, weniger. zB wird Microsoft auch dafür kritisiert, dass die Sicherheitslücken nur ein Mal im Monat patchen, somit ist das Gerät in der Zeit zwischen Veröffentlichung der Lücke und dem Patch angreifbar.

Ich finde das ist ein Grundsatzfrage. Wenn im Schuppen Wertsachen liegen dann will jemand rein, und wer rein will der kommt auch rein. Auch das finden von Sicherheitslücken ist ja mit Arbeit verbunden, wer macht sich diese Arbeit und aus welchem Grund? Doch letztendlich deswegen weil sich das lohnen kann. Aber ich muss ja keine sensiblen Daten auf Geräten speichern die im Netz unterwegs sind. Tut das wirklich Not mit dem Handy Überweisungen zu tätigen oder sogar noch damit Bezahlen zu wollen. Letztlich hat ja alles seinen Preis. Viele sagen z.B. das sie mit Karte bezahlen weil sie Angst haben das ihnen das Geld gestohlen wird. Und das Resultat, die Karten werden von manipulierten Lesegeräten kopiert und ihnen trotzdem das Geld gestohlen, und wenn sie Pech haben fährt der Räuber noch mit ihnen zu Bank, und dann heißt es Maximalbetrag!
Die Werbung erweckt in dem Menschen den Eindruck, das etwas immer nur Vorteile hat, aber die Nachteile verschweigt man. Und so Glauben die Leute dann das es dinge gibt die einfach nur besser währen, und fertig. Aber so was gibt es nur höchst selten. Meistens ändern sich nur die Prioritäten.
Wenn nun aber eine Software täglich Updates bekommt, wird das Produkt damit zum einen Teurer, was dann ja wiederum ein höheres Vertrauen in diese Technik hervorruft, und die Leute damit sorgloser umgehen lässt. Und das Selbe passiert wenn sie jeden Tag Updates bekommen. Dann haben die Leute das Gefühl das Gerät sei Extrem sicher und werden dementsprechend sorgloser damit umgehen. Und in den meisten fällen, liegt ja der Fehler nicht direkt in der Technik. Das ist ja wie mit dem phishing. Also die Bank schreibt ne E-Post, wo steht melden sie sich HIER! An, und geben ihre Daten und eine Tan ein. Ich glaube das es sinnvoller wäre wenn die Menschen eine gewisse Vorsicht mit Informationstechnick üben würden, als sich nur auf den Hersteller zu verlassen. Der ja letztlich eine Lücke auch nur schließen kann, wenn sie aufgeflogen ist. Aber dann ist es ja zumindest für einige schon zu spät.

Aber ich muss ja keine sensiblen Daten auf Geräten speichern die im Netz unterwegs sind. [...] Ich glaube das es sinnvoller wäre wenn die Menschen eine gewisse Vorsicht mit Informationstechnick üben würden, als sich nur auf den Hersteller zu verlassen.

+1

Die Werbung erweckt in dem Menschen den Eindruck, das etwas immer nur Vorteile hat, aber die Nachteile verschweigt man.

Jo, ein anderer Name für Werbung ist auch Propaganda.

Auch das finden von Sicherheitslücken ist ja mit Arbeit verbunden, wer macht sich diese Arbeit und aus welchem Grund?

Wie schon gesagt, das sind bekannte Lücken. Gründe gibt es viele:

  • man will irgendetwas im Code ändern und stößt zufällig auf eine Lücke
  • die Hersteller haben einen Vorteil davon, dass deren Produkte nicht anfällig sind (zB Google als "Hersteller" von Android)
  • Google, Facebook usw betreiben selbst Linux Server, für die macht es Sinn, dass diese sicher laufen
  • Freiwillige, die sichere Geräte haben wollen
    • es gibt Tools, die das Auffinden erleichtern und damit die Kosten/Arbeit senken
    • (ne Menge an Software wird von Freiwilligen entwickelt und gewartet)
  • white hats, die von den Herstellern eine Belohnung bekommen fürs Melden der Fehler
  • NSA will irgendwelche Leute überwachen und findet neue Lücken oder baut neue in die Geräte ein
  • Kriminelle (black hats), die die Lücken selbst nutzen wollen oder diese verkaufen

Coin Marketplace

STEEM 0.15
TRX 0.17
JST 0.028
BTC 68641.27
ETH 2457.35
USDT 1.00
SBD 2.33